Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00581

Опубликовано: 13 янв. 2025
Источник: fstec
CVSS3: 6.5
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость инструментов для автоматизации бизнес-процессов в системе SAP SAP Business Workflow и SAP Flexible Workflow связана с обходом авторизации посредством использования ключа, контролируемого пользователем. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Вендор

SAP SE

Наименование ПО

SAP Business Workflow
SAP Flexible Workflow

Версия ПО

SAP_BASIS 753 (SAP Business Workflow)
SAP_BASIS 754 (SAP Business Workflow)
SAP_BASIS 755 (SAP Business Workflow)
SAP_BASIS 756 (SAP Business Workflow)
SAP_BASIS 757 (SAP Business Workflow)
SAP_BASIS 758 (SAP Business Workflow)
SAP_BASIS 912 (SAP Business Workflow)
SAP_BASIS 913 (SAP Business Workflow)
SAP_BASIS 914 (SAP Business Workflow)
SAP_BASIS 753 (SAP Flexible Workflow)
SAP_BASIS 754 (SAP Flexible Workflow)
SAP_BASIS 755 (SAP Flexible Workflow)
SAP_BASIS 756 (SAP Flexible Workflow)
SAP_BASIS 757 (SAP Flexible Workflow)
SAP_BASIS 758 (SAP Flexible Workflow)
SAP_BASIS 912 (SAP Flexible Workflow)
SAP_BASIS 913 (SAP Flexible Workflow)
SAP_BASIS 914 (SAP Flexible Workflow)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/january-2025.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 27%
0.00094
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-0058

CVSS3: 6.5
nvd
около 1 года назад

In SAP Business Workflow and SAP Flexible Workflow, an authenticated attacker can manipulate a parameter in an otherwise legitimate resource request to view sensitive information that should otherwise be restricted. The attacker does not have the ability to modify the information or to make the information unavailable.

github логотип

GHSA-qgh2-cjfr-4xrc

CVSS3: 6.5
github
около 1 года назад

In SAP Business Workflow and SAP Flexible Workflow, an authenticated attacker can manipulate a parameter in an otherwise legitimate resource request to view sensitive information that should otherwise be restricted. The attacker does not have the ability to modify the information or to make the information unavailable.

EPSS

Процентиль: 27%
0.00094
Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2